Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\c3bb.tmp\c3cc.bat
- <Текущая директория>\crypt.txt
- <Текущая директория>\infected.txt
Изменяет следующие файлы
- %HOMEPATH%\desktop\1189.jpeg
- %HOMEPATH%\desktop\1189.jpg
- %HOMEPATH%\desktop\2.jpeg
- %HOMEPATH%\desktop\210252809.jpeg
- %HOMEPATH%\desktop\4f0bf7ff71f28.jpeg
- %HOMEPATH%\desktop\4f0bf7ff71f28.jpg
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\icq.lnk
- %HOMEPATH%\desktop\mail.ru agent.lnk
- %HOMEPATH%\desktop\qip 2012.lnk
- %HOMEPATH%\desktop\telegram.lnk
- %HOMEPATH%\desktop\total commander 64 bit.lnk
- %HOMEPATH%\desktop\iisstart.html
- %HOMEPATH%\desktop\region-north-karelia.jpg
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\C3BB.tmp\C3CC.bat <Полный путь к файлу>"
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 00000001
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\cmd.exe' /S /D /c" echo Y "
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=1,* delims=: " %j in (infected.txt) do copy crypt.txt "%j:%k""
